10
Con il Nuovo Accordo di Basilea, quindi, si introduce una nuova categoria
di rischio a fronte del quale sarà necessario accantonare una quota di patrimonio
ad hoc non prevista nell’Accordo del 1988.
Il rischio operativo viene definito come il rischio di perdite derivanti da
errori o malfunzionamenti di processi o sistemi, da comportamenti non corretti o
da eventi esterni.
Si tratta quindi di un rischio non legato alla peculiarità bancaria ma, in
generale, concernente qualsiasi tipo di attività di business, in quanto si riferisce
alla possibilità che fattori interni o esterni possano determinare eventi che abbiano
un impatto dannoso sul conto economico dell’azienda.
Quindi il rischio operativo, nelle sue diverse manifestazioni, comprende i
rischi collegati alla sicurezza del patrimonio informatico (sia fisico che logico).
Ed è proprio su questo aspetto che il presente lavoro si concentra trattando,
appunto, il rischio operativo informatico.
Nel primo capitolo di questa tesi l’attenzione è posta soprattutto sul Nuovo
Accordo di Basilea, se ne analizzano gli aspetti più importanti, soprattutto in
riferimento al rischio operativo che rappresenta la novità più importante
dell’Accordo.
Nel secondo capitolo si affrontano le tematiche dell’ICT, cioè delle
tecnologie dell’informazione e della comunicazione, e dei sistemi informativi, in
relazione al rischio operativo, più precisamente il rischio operativo informatico.
Infatti, da sempre, ma soprattutto ora grazie alla rapida evoluzione della
tecnologia, che ha permesso di ridisegnare i confini organizzativi della banca
sempre più aperta e connessa con altri soggetti e sistemi informatici, le tecnologie
informatiche hanno assunto un ruolo cruciale nell’assetto organizzativo e
funzionale delle imprese bancarie. L’informazione rappresenta la linfa vitale del
business bancario e le organizzazioni ne sono sempre più dipendenti. Da questo
nasce l’esigenza per ogni impresa bancaria di conoscere, analizzare e gestire quei
rischi informatici, che rientrano proprio nella categoria del rischio operativo, i
quali potrebbero, una volta manifestati, danneggiare i loro sistemi e, di
conseguenza, le informazioni da loro contenute e trattate in termini di
confidenzialità, integrità e disponibilità del patrimonio informativo.
11
Quindi in questo capitolo si spiega cosa è un sistema informatico, si
sottolinea l’importanza della sua sicurezza e infine si parla del rischio informatico
e dei tipi di rischio ad esso strettamente collegati.
Nel terzo capitolo si spiegano le diverse metodologie di gestione del rischio
operativo secondo Basilea2.
La dipendenza sempre maggiore verso l’utilizzo di tecnologie informatiche,
soprattutto nel settore finanziario aumenta la necessità di gestire la tipologia del
rischio informatico. Nel quarto capitolo, quindi, si passa alla trattazione della
gestione del rischio operativo informatico attraverso l’implementazione in azienda
di un ISMS (Information Security Management System), cioè un sistema di
gestione della sicurezza informatica. A tal riguardo si parla di analisi dei rischi,
che è l’attività da cui desumere le azioni da implementare per la gestione del
rischio, inoltre si sottolinea l’importanza di predisporre in azienda un piano di
continuità operativa (BCP), necessario per garantire la continuità del business
aziendale in caso di manifestazione di un evento critico, infine si parla
dell’auditing quale mezzo di straordinaria importanza per il controllo e il
miglioramento dei processi aziendali nell’ambito del sistema di gestione.
Il quinto capitolo è un caso pratico riferito al rischio informatico. Più
precisamente ci si riferisce al problema del phishing, nuova forma di truffa on
line, che utilizza delle false e-mail al fine di catturare in modo fraudolento i codici
di accesso dei clienti all'Internet Banking.
12
CAPITOLO I
BASILEA 2
1. Il Comitato di Basilea
Il Comitato di Basilea per la Vigilanza Bancaria è un organismo di
consultazione che si riunisce periodicamente, quattro volte all’anno, presso la
Banca dei Regolamenti Internazionali (Bank For International Settlements - BIS
1
)
con sede in Basilea
2
.
Fu istituito alla fine del 1974 dai governatori delle Banche Centrali del G10
3
a seguito del fallimento della tedesca Bankhaus Herstatt. Ciò indirizzò da subito i
lavori del Comitato, verso degli obiettivi che furono immediatamente
esplicitati:“intervenire per supportare il buon funzionamento e la stabilità del
sistema finanziario globale”.
I Membri del Comitato provengono dagli Enti preposti alla Vigilanza sulle
attività di credito (Banche Centrali o Autorità incaricate) di: Belgio, Canada,
Francia, Germania, Italia, Giappone, Lussemburgo, Olanda, Spagna, Svezia,
Svizzera, Inghilterra e Stati Uniti. L’attuale Chairman è Mr. Jaime Caruana,
Governatore della Banca di Spagna.
Il Comitato non ha alcun potere legislativo e/o normativo, tuttavia, formula
proposte, linee guida e prassi nell’ambito di due obiettivi fondamentali:
1
Organismo internazionale per la cooperazione su temi monetari e finanziari e funge da Banca
centrale per le Banche Centrali operando come:
¾ forum per promuovere discussioni e facilitare le decisioni tra le Banche Centrali e la
comunità finanziaria internazionale;
¾ controparte primaria per le transazioni finanziarie tra le Banche Centrali;
¾ centro internazionale per la ricerca economica e monetaria;
¾ agente o garante per operazioni finanziarie internazionali;
allo scopo di perseguire la stabilità monetaria e finanziaria.
2
Al riguardo: www.basilea2.com/Basilea_2.htm.
3
Gruppo dei Dieci, raggruppamento dei dieci paesi più industrializzati, membri del Fondo
monetario internazionale (FMI), costituito nel 1962 per incrementare, mediante il contributo di
ciascun membro, le risorse finanziarie a disposizione del FMI per la concessione di prestiti e per
controllare più efficacemente le crisi nelle relazioni monetarie internazionali. Il Gruppo dei Dieci è
composto da Belgio, Canada, Francia, Germania, Giappone, Italia, Paesi Bassi, Regno Unito, Stati
Uniti, Svezia, Svizzera. Ognuno di questi Paesi ha un rappresentante nel Comitato di Basilea
13
1. estendere la regolamentazione di vigilanza a tutte le istituzioni
bancarie nel maggior numero di paesi;
4
2. rendere sempre più efficace la regolamentazione di vigilanza
bancaria, al fine di assicurare stabilità al sistema complessivo.
5
Il Comitato di Basilea, quindi, non emana norme o leggi, è un organismo
propositivo, predispone proposte che altri soggetti tradurranno in norme.
6
Tali
soggetti, per quanto riguarda l’Europa, sono l’Unione Europea e i suoi organismi:
il Parlamento Europeo, il Consiglio dell’Unione Europea e la Commissione
Europea.
Nel 1988 il Comitato decise di proporre una metodologia di misurazione del
rischio bancario, noto come Accordo di Basilea (Basel Capital Accord) sui
requisiti patrimoniali o Basilea1, il quale stabilisce che: “il patrimonio di
vigilanza deve essere adeguato ai rischi assunti dal business”.
Questo Accordo, che ha rappresentato un importante passo avanti,
introducendo una differenziazione del requisito minimo di capitale in funzione del
rischio di credito di ciascuna banca, è stato progressivamente adottato da tutti i
paesi aventi un sistema bancario internazionale.
La costante attenzione posta all’evoluzione dei mercati finanziari, negli anni
successivi alla stesura del primo Accordo, portò il Comitato ad una rivisitazione
dell’Accordo dell’88 affinché potesse comprendere anche il rischio di mercato nel
tentativo di correggere una delle anomalia più criticate.
L’Accordo fu corretto nel 1996 introducendo l’indicazione del capitale
richiesto per cautelarsi dai rischi di mercato. Ciò portò a due vie alternative per la
4
Il documento del Nuovo Accordo, infatti, viene inviato alle Autorità di Vigilanza di tutto il
mondo con lo scopo di incoraggiarle a considerare l’adozione del nuovo Schema nei tempi che
riterranno coerenti con le più ampie priorità prudenziali da esse stabilite.
5
Cfr. Metelli F. “Che cos’è l’Accordo di Basilea: quadro normativo”, Il Sole 24 ORE - Basilea2,
Luglio 2004, supplemento di Agevolazioni & Incentivi per le Imprese.
6
L’attività del Comitato è volta essenzialmente a favorire la convergenza e l’armonizzazione dei
sistemi di vigilanza dei paesi aderenti. “Gli atti da esso emanati non hanno un preciso valore
giuridico, venendo generalmente considerati alla stregua di gentlemen agreements. La loro
introduzione negli effettivi ordinamenti giuridici è infatti rimessa all’unilaterale e autonoma
implementazione da parte degli Stati componenti, secondo le regole che presidiano le rispettive
forme di produzione normativa. Al riguardo, l’impegno che i partecipanti al Comitato prendono di
promuovere nei rispettivi paesi l’applicazione delle misure concordate può assumere rilievo solo a
livello politico, in relazione alle naturali ripercussioni che i relativi esiti comportano sul prestigio
internazionale delle istituzioni interessate”. Cfr. Garrone F. (2001), “Il Comitato di Basilea per la
vigilanza bancaria e la revisione dell’Accordo sul capitale”, Bancaria, n. 1.
14
misurazione dei rischi di mercato, un metodo standard e un modello sviluppato
internamente.
Non si teneva ancora conto del rischio operativo, che venne preso in
considerazione nel giugno del 1999 quando si decise di adeguare l’Accordo,
modificandone il metodo di calcolo del rischio bancario. Venne elaborato, così, il
Nuovo Accordo sul Capitale noto come Basilea2.
Nel gennaio del 2001 il Comitato di Basilea ha pubblicato “The New Basel
Capital Accord”
7
, documento di consultazione per definire la nuova
regolamentazione in materia di requisiti patrimoniali per le banche,
successivamente è stato pubblicato un nuovo documento di consultazione (aprile
2003) e condotti tre studi di impatto quantitativo
8
relativi alle suddette proposte
arrivando, nel giugno del 2004, alla versione definitiva dell’Accordo che entrerà
in vigore alla fine del 2006
9
.
7
Il Nuovo Accordo di Basilea e le sue precedenti pubblicazioni sono reperibili sul sito
www.bis.org anche nella versione tradotta in italiano.
8
I tre studi d’impatto (Quantitative Impact Study) sono: QIS 2: Operational risk data (May 2001),
QIS 2.5 Exercise (November 2001), QIS 3 Results (May 2003), tutti reperibili al seguente
indirizzo: www.bis.org/bcbs/qis/index.htm.
9
Il Comitato, tuttavia, ritiene che occorrerà un ulteriore anno per effettuare studi d’impatto per i
metodi più avanzati che saranno quindi applicabili verso la fine del 2007.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
